Der EU AI Act und die blinde Stelle für KMUs: Warum KI in Standardsoftware Sie Millionen kosten könnte
Der KI-Hype der letzten Jahre weicht einer harten rechtlichen Realität: Mit dem EU AI Act setzt die Europäische Union weltweit einzigartige und bindende Grenzen für den Einsatz von künstlicher Intelligenz. Ab August 2026 wird es für die Mehrheit der Unternehmen ernst – doch alarmierend wenige sind vorbereitet. Wer bis zu diesem Stichtag seine Hausaufgaben nicht gemacht hat, riskiert drastische Geldstrafen von bis zu 35 Millionen Euro oder sieben Prozent seines globalen Jahresumsatzes.
Ein gefährliches Missverständnis ist, dass das Gesetz nur Tech-Unternehmen oder Entwicklern eigener KI-Modelle betrifft. Tatsächlich gelten die strengen Anforderungen auch, wenn Unternehmen KI-Funktionen lediglich erwerben oder unwissentlich in alltäglicher Standardsoftware verwenden. Dieser Artikel untersucht die Verpflichtungen, die Organisationen nun in den verschiedenen Risikokategorien gegenüberstehen, warum eine sofortige KI-Inventur unerlässlich ist und wie kluge Unternehmensleiter die neuen Governance-Strukturen nicht als belastende Bürokratie, sondern als strategischen Wettbewerbsvorteil nutzen können.
Die Dringlichkeit der Vorbereitung
Der Countdown läuft – und die Uhr tickt hörbar. Am 2. August 2026 tritt die entscheidende Umsetzungsphase des EU AI Act für die Mehrheit der betroffenen Organisationen in Kraft: Die vollständigen Anforderungen für Hochrisiko-KI-Systeme werden verbindlich, Governance-Strukturen müssen nachgewiesen werden, und die Transparenzpflichten für generative KI treten in Kraft. Geldstrafen von bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes sind dann kein abstraktes Risiko mehr, sondern ein reales rechtliches Risiko.
Die seit Inkrafttreten der Verordnung im August 2024 gewährten Übergangsfristen laufen aus. Wer gehofft hatte, die Europäische Kommission würde den Termin erneut verschieben, sieht sich gemischten Ergebnissen gegenüber. Ein sogenanntes Digital Omnibus Package, das gezielte Anpassungen und Vereinfachungen insbesondere für kleine und mittelständische Unternehmen (KMUs) beinhaltet, wird diskutiert und soll die Verpflichtungen klarer, überschaubarer und innovationsfreundlicher gestalten.
Risikokategorisierung und Anforderungen
Die konzeptionelle Grundlage des EU AI Act ist ein risikobasierter Ansatz, der KI-Systeme in vier Gruppen kategorisiert. KI-Praktiken mit unzulässigem Risiko, wie Systeme zur sozialen Bewertung von Personen oder zur manipulativen Beeinflussung von Entscheidungen, sind vollständig verboten und können Geldstrafen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes nach sich ziehen.
Hochrisiko-KI-Systeme, die in acht definierten Bereichen verwendet werden, unterliegen umfassenden Compliance- und Dokumentationsanforderungen. Begrenzte Risiken müssen bestimmte Transparenzpflichten erfüllen, wie das Kennzeichnen von KI-generierten Inhalten. Alltägliche, niedrigriskante KI-Anwendungen sind weitgehend unreguliert.
Herausforderungen für KMUs
Für viele deutsche KMUs ist der EU AI Act ein Thema, das trotz seiner weitreichenden Implikationen in vielen Unternehmen noch nicht die Aufmerksamkeit erhalten hat, die es verdient. Die Vorschriften sind komplex, die Terminologie technisch, und die Klassifizierungsfragen rechtlich anspruchsvoll. Viele KMUs verfügen einfach nicht über die internen Ressourcen, die für eine gründliche Compliance-Analyse erforderlich sind.
Die erste und dringendste Maßnahme für jedes mittelständische Unternehmen ist daher die vollständige Inventur aller im Unternehmen verwendeten KI-Systeme, einschließlich KI-Funktionen in Standardsoftware. Dieser Schritt ist nicht optional; er ist die rechtlich vorgeschriebene Voraussetzung für alle weiteren Compliance-Maßnahmen.
Governance-Strukturen und strategische Vorteile
Der Kern des EU AI Act ist nicht das System von Geldstrafen, so substantiell die Sanktionen auch sein mögen. Es ist die Anforderung an eine echte KI-Governance-Struktur, die KI-Entscheidungen innerhalb des Unternehmens nachvollziehbar, transparent und verständlich macht. Die Verordnung verlangt die Ernennung eines KI-Compliance-Beauftragten oder die Schaffung einer vergleichbaren Verantwortung, die Einrichtung eines internen KI-Governance-Gremiums, regelmäßige Risikoberichte und Audits sowie ethische Richtlinien für den Einsatz von KI.
Diese Anforderungen mögen wie bürokratischer Aufwand erscheinen, und für viele kleinere Unternehmen wird die Umsetzung in der Tat erhebliche organisatorische Anstrengungen erfordern. Aus strategischer Perspektive beschreiben sie jedoch im Wesentlichen die Infrastruktur, die jedes Unternehmen, das KI verantwortungsvoll und nachhaltig nutzen möchte, aufbauen muss.
Fazit
Für Unternehmen, die noch nicht mit der systematischen Vorbereitung begonnen haben, ist die Zeit knapp, aber noch nicht abgelaufen. Der empfohlene Umsetzungsfahrplan beginnt mit einer sofortigen Inventur aller im Unternehmen verwendeten KI-Systeme, gefolgt von einer Risikoklassifizierung jedes Systems gemäß den Kriterien des AI Act.
Unternehmen, die frühzeitig in Compliance-Infrastrukturen investieren und diese intern als Qualitätsstandard für ihre KI-Nutzung verstehen, werden greifbare Wettbewerbsvorteile erlangen. Kunden, insbesondere institutionelle und öffentliche Auftraggeber, werden zunehmend den Wert eines Anbieters schätzen, der den verantwortungsvollen Einsatz von KI demonstrieren kann.
